Il Comitato europeo ha rilasciato in consultazione pubblica le linee guida 01/2021 contenenti esempi di data breach, conseguenti valutazione dei rischi ed azioni correttive e di mitigazione. 

L’approccio, meno teorico e maggiormente operativo, segue le osservazioni evidenziate nella prima relazione della Commissione a due anni dall’applicazione del GDPR in cui – insieme all’apprezzamento per il lavoro svolto dal Comitato europeo – si leggeva che le parti interessate «(s)ottolineano inoltre la necessità di una consulenza più pratica, in particolare di esempi maggiormente concreti». Per una sintesi della relazione si veda l’Alert del 16/7/2020.

Casi data breach

Violazione di dati personali

La violazione di dati personali o “data breach” è un incidente di sicurezza con impatti sui dati personali che causano limitazioni di:

  1. confidenzialità (cioè individui non autorizzati prendono conoscenza dei dati)
  2. integrità (cioè i dati subiscono alterazioni) 
  3. disponibilità (cioè i dati non sono disponibili, seppure temporaneamente).

Le 6 regole del data breach

Data breach 6 steps

La violazione dei dati personali, piuttosto che una prescrizione, è un processo che si articola in sei passi principali ciascuno dei quali racchiude una regola. 

Per adempiere correttamente agli obblighi di 

  • notifica all’autorità
  • comunicazione agli interessati coinvolti 
  • documentazione dell’incidente

occorre che il processo si svolga compiutamente, con adeguati presidi per ciascuno dei sei passaggi.

Gli esempi riportati dalle linee guida evidenziano:

  • gli elementi salienti di ciascun incidente
  • le ripercussioni in termini di rischi prodotti
  • gli adempimenti che si rendono necessari
  • le misure di mitigazione e di correzione ipotizzabili.